G
Garante

Registre des activités de traitement

Dernière mise à jour : Mai 2026 — Version 1.2

Télécharger le PDF

Conformément à l'article 30 du RGPD, Garante tient un registre public des traitements de données à caractère personnel qu'il opère en tant que responsable de traitement. Ce registre ne couvre que les traitements pour lesquels Garante détermine seul les finalités et les moyens. Les traitements opérés pour le compte des cabinets DPO clients (instruction des DSAR, gestion des registres et violations de leurs propres clients) relèvent de leur responsabilité de traitement et sont encadrés par le contrat de sous-traitance (DPA).

Responsable de traitement

Ahmed Bellafkih — entrepreneur individuel exploitant la marque Garante

SIREN : 988 920 617

Siège : 50 avenue des Champs-Élysées, 75008 Paris, France

Contact DPO : dpo@garante.fr

Activités de traitement

Huit activités de traitement sont opérées par Garante en tant que responsable de traitement. Les traitements opérés pour le compte des cabinets DPO clients sont couverts par le DPA et documentés dans les registres respectifs de chaque cabinet.

1. Gestion des comptes utilisateurs des cabinets clients

Finalité
Permettre aux cabinets DPO abonnés de créer un compte, s'authentifier et gérer leurs utilisateurs internes (administrateurs, DPO, assistants).
Base légale
Exécution du contrat (art. 6.1.b RGPD)
Catégories de données
  • Identité : nom, prénom, email professionnel
  • Données de connexion : mot de passe haché (bcrypt 12 rounds), secret TOTP chiffré AES-256-GCM, codes de récupération hachés
  • Logs techniques : adresse IP, user-agent, horodatages de connexion
Durée de conservation
Durée du contrat. Logs d'audit conservés 36 mois après résiliation à des fins probatoires.
Destinataires
Interne Garante uniquement. Aucun transfert en dehors de l'Espace économique européen.

2. Envoi d'emails transactionnels

Finalité
Notifier les utilisateurs des cabinets clients des événements liés à leurs comptes ou à leurs demandes (création de compte, alertes sécurité, notifications de violation, accusés de réception).
Base légale
Exécution du contrat et obligation légale (art. 6.1.b et 6.1.c RGPD)
Catégories de données
  • Adresse email du destinataire, sujet, contenu, logs d'envoi
Durée de conservation
Logs d'envoi : 13 mois (cohérent avec la rétention Brevo).
Destinataires
Brevo SAS (sous-traitant ultérieur, France, hébergement UE). Liste publique des sous-traitants : /legal/subprocessors.

3. Mesure technique du service (logs applicatifs et sécurité)

Finalité
Assurer la disponibilité, l'intégrité et la sécurité du service. Détecter et investiguer les incidents de sécurité.
Base légale
Intérêt légitime (art. 6.1.f RGPD) — sécurité du service
Catégories de données
  • Logs techniques : adresse IP, user-agent, requêtes API, codes de retour, erreurs
  • Redaction automatique : les en-têtes d'authentification, mots de passe et tokens sont masqués automatiquement (Pino redaction sur 13 patterns sensibles)
Durée de conservation
90 jours maximum (rotation automatique).
Destinataires
Interne Garante uniquement.

4. Gestion de l'environnement de démonstration publique

Finalité
Permettre aux prospects d'essayer Garante dans un environnement de démonstration sans engagement.
Base légale
Intérêt légitime (art. 6.1.f RGPD) — démonstration commerciale du service
Catégories de données
  • Email fourni volontairement par le prospect (facultatif)
  • Données fictives générées automatiquement et réinitialisées toutes les heures (cron de reset)
Durée de conservation
Email prospect : 3 ans après dernier contact, ou suppression immédiate sur demande. Données de démonstration : 1 heure (reset cron).
Destinataires
Interne Garante.

5. Prospection commerciale

Finalité
Identifier et contacter des cabinets DPO et délégués à la protection des données susceptibles d'être intéressés par Garante.
Base légale
Intérêt légitime (art. 6.1.f RGPD) — prospection commerciale B2B vers professionnels exerçant en lien direct avec l'objet du service
Catégories de données
  • Identité : nom, prénom, fonction (DPO, délégué, dirigeant cabinet)
  • Coordonnées professionnelles : email, entreprise, secteur
  • Notes d'échanges : statut de la relation, historique des contacts
Durée de conservation
3 ans après le dernier contact (recommandation CNIL en B2B). Suppression immédiate sur demande d'opposition (Art. 21 RGPD).
Destinataires
Interne Garante (CRM admin). Scaleway TEM (sous-traitant ultérieur, France) pour l'envoi des emails — utilisation transitoire le temps de la phase de prospection initiale, retrait planifié à la fin du cycle.

6. Facturation des cabinets clients

Finalité
Émettre les factures d'abonnement Garante et assurer le suivi des règlements.
Base légale
Exécution du contrat (art. 6.1.b RGPD) et obligation légale comptable (art. 6.1.c RGPD — Code de commerce art. L123-22, Code général des impôts)
Catégories de données
  • Raison sociale du cabinet, SIRET, adresse de facturation
  • Montants, échéances, références de paiement
  • Les données de carte bancaire ne sont jamais stockées par Garante. Elles sont collectées et stockées exclusivement chez Stripe (PCI DSS Level 1).
Durée de conservation
10 ans à compter de la clôture de l'exercice comptable (Code de commerce art. L123-22).
Destinataires
Stripe Payments Europe Ltd. (sous-traitant ultérieur déclaré — voir /legal/subprocessors). Administration fiscale et URSSAF sur demande légale fondée. Note : ce traitement sera activé à la signature du premier client payant.

7. Comptabilité et obligations fiscales de Garante

Finalité
Tenir la comptabilité de l'entreprise (factures émises et reçues), produire les déclarations fiscales et sociales obligatoires.
Base légale
Obligation légale (art. 6.1.c RGPD — Code de commerce, Code général des impôts, Code de la sécurité sociale)
Catégories de données
  • Raison sociale, SIRET, adresses, RIB des clients et fournisseurs
  • Montants, dates, libellés des opérations
Durée de conservation
10 ans à compter de la clôture de l'exercice comptable (obligation légale).
Destinataires
Garante en interne. Administration fiscale et URSSAF sur demande légale fondée.

8. Support technique aux cabinets clients

Finalité
Assister les utilisateurs des cabinets clients en cas de question, d'incident technique ou de demande d'évolution du service.
Base légale
Exécution du contrat (art. 6.1.b RGPD)
Catégories de données
  • Email du demandeur, contenu des échanges écrits
  • Captures d'écran éventuelles fournies volontairement par l'utilisateur
  • Métadonnées : horodatages, identifiant ticket, statut de résolution
Durée de conservation
1 an à compter de la clôture du ticket de support (suffisant pour audit qualité et amélioration continue).
Destinataires
Interne Garante. Brevo SAS pour l'envoi des réponses email (sous-traitant ultérieur déjà déclaré).

Transferts hors Union européenne

L'ensemble des traitements opérés par Garante est hébergé dans l'Espace économique européen. Le seul sous-traitant ultérieur dont la maison-mère est située hors UE est Stripe Payments Europe Ltd. (filiale irlandaise de Stripe Inc., USA), avec lequel les transferts éventuels sont encadrés par les Clauses Contractuelles Types (SCC) de la Commission européenne et la certification Data Privacy Framework (DPF). Liste exhaustive et à jour : /legal/subprocessors.

Mesures techniques et organisationnelles

  • Chiffrement AES-256-GCM des secrets en base et MinIO SSE-KMS au repos pour les fichiers
  • Chiffrement en transit TLS 1.3 (Let's Encrypt, CDN Bunny.net EU)
  • Authentification : bcrypt 12 rounds, JWT HS256, refresh token rotation single-use, 2FA TOTP obligatoire par défaut pour tous les rôles (administrateur, DPO, assistant)
  • Isolation multi-tenant stricte avec Row-Level Security PostgreSQL activé en production (rôle garante_app non superuser, NOBYPASSRLS)
  • Audit trail tamper-evident par chaîne SHA-256 sur DSAR, violations, AIPD et registres (opposabilité Art. 5.2 RGPD + Art. 1366 Code civil)
  • Antivirus ClamAV sur tous les uploads en mode fail-closed
  • Sauvegardes quotidiennes chiffrées AES-256-CBC + PBKDF2 100 000 itérations, rétention 30 jours glissants ; copie hors-ligne rotative 7 jours sur stockage isolé du runtime (même serveur) ; réplication off-site géographique UE prévue en feuille de route, non encore active
  • Audit interne de sécurité annuel ; engagements opérationnels détaillés dans la Politique de sécurité de l'information

Exercice des droits

Conformément aux articles 15 à 22 du RGPD, toute personne concernée dispose d'un droit d'accès, de rectification, d'effacement, de limitation, d'opposition et de portabilité de ses données. Ces droits peuvent être exercés par email à dpo@garante.fr. Une réclamation peut également être déposée auprès de la CNIL.

Ce registre est mis à jour à chaque évolution significative des traitements (revue annuelle minimum + sur événement majeur). Historique des versions consultable sur demande à dpo@garante.fr.